[SSL на nginx с ip alias]

KU2, 3.8.b2. Есть подсеть белых адресов от провайдера. Пытаюсь завести на opkg nginx с сертификатами

Основной адрес на роутере - например, 10.11.12.18/29, к интерфейсу приделан ip alias 10.11.12.19/32

Если в конфиге nginx стоит  "listen 10.11.12.19:443 ssl;" - nginx не отвечает на хэндшейки от клиента, коннект сбрасывается по таймауту

Если перевесить его на другой порт или глобально отключить SSL на роутере - все работает

При этом netstat показывает, что при отключенном nginx 443 порт на 10.11.12.19 не занят

upd: если стартовать на 443 порту nginx без ssl, то он нормально отвечает на http запросы

 

Так должно быть? 

[Nginx + SSL от Letsencrypt]

В 22.05.2020 в 15:45, Ayesh сказал:

Нашел, в чем дело, поправил. Дело оказалось действительно в новой прошивке, пришлось поставить костылик - что-то село на внутренний 443 порт, аналогично как раньше на 80 внутреннем сидел веб-сервер админки. Изменил правило для переадресации портов - поставил 443 (внешний) на 433 внутренний, и всё заработало опять.

Наткнулся, похоже, на ту же проблему. Пытаюсь повесить nginx с SSL на алиас внешнего интерфейса, белый IP. Та же картина - сокет на 443 порту цепляется, но TLS хэндшейк не проходит, ни одного ответа. Боюсь, трюк с альтернативным портом для nginx не пройдет, по крайней мере не удается сделать форвард с 443 порта на 433 на алиасе.

Может, есть идеи как сделать форвард или освободить 443 порт на алиасе для nginx?

[ip alias в Opkg]

да, тот же результат, спасибо

[ip alias в Opkg]

7 минут назад, r13 сказал:

А через cli сделать алиас на интерфейсе не устраивает?

а эффект тот же?

[ip alias в Opkg]

Задаю в opkg secondary адрес посредством ip addr add <ip/mask> dev <interface>

Все прекрасно прописывается и работает. До ребута, разумеется.

Вопрос: как оптимальным образом вставить это в скрипт, чтобы адрес добавлялся после перезагрузки?

[Wireless mesh feature]

1610 контроллер, 1510 ТД, на обоих релиз 3.1.6, соединены проводом. На контроллере show mws members показывает, что экстендер подключен через кабель, а в web-интерфейсе экстендера соединение через 5G.

И я правильно понимаю, что в конфиге информация о захваченных экстендерах не сохраняется, при переносе конфигурации всегда придется повторять захват вручную?

[Wireless mesh feature]

37 минут назад, valeramalko сказал:

я настраивал без wps

получилось, спасибо

22 минуты назад, sergeyk сказал:

interface WifiMasterX/AccessPointY wps button send

 

 

19 минут назад, r13 сказал:

В вебе на главном экране в информации о wifi сети есть кнопка запуска wps

правильно ли я понимаю, что на контроллере нужно запускать wps на домашней точке доступа 5 Ггц?

[Wireless mesh feature]

Есть ли CLI аналог нажатия кнопки WiFi/WPS? Контроллер под потолком, лень за стремянкой идти

 

[Доступ к геолокации 53.3 Android]

И, наверное, логично запрашивать доступ непосредственно перед добавлением нового устройства, а не сразу при запуске приложения. Я вот не планирую ничего добавлять, а ошибка всплывает постоянно и мешает добраться до списка

[Доступ к геолокации 53.3 Android]

ну да, вот это "вифи" как наждаком по глазам, не говоря уже про пунктуацию

[Доступ к геолокации 53.3 Android]

Последняя версия настойчиво требует доступа к геолокации в телефоне под каким-то надуманным предлогом. Предположим, так и нужно, но почему так безграмотно?

[MultiWAN policy routing в NDMS 2.12+.]

5 минут назад, r13 сказал:

Гыгы

ну это просто про "никогда"

[MultiWAN policy routing в NDMS 2.12+.]

В 04.12.2018 в 10:10, Alexander Eerie сказал:

айписек не роутится по своему дизайну. этого не будет никогда. переходите на pptp/l2tp - если нельзя на чистые тунели

ну зачем же так категорично

https://wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN

 

[раздел "Бесшовный роуминг"]

А будет ли список поддерживающих моделей?

[MultiWAN policy routing в NDMS 2.12+.]

16 минут назад, Le ecureuil сказал:

При чем тут вообще Zywall? Мы вроде Keenetic обсуждаем.

Zywall - уже существующий VPN-концентратор на 500 ipsec туннелей, Keenetic (хотелось бы) - удаленный маршрутизатор. В существующей схеме нет возможности применить ipip или gre, потому что на концентраторе их нужно 500. 

[MultiWAN policy routing в NDMS 2.12+.]

1 час назад, Le ecureuil сказал:

Нужен policy routing для IPsec - используйте IPIP/GRE/EoIP over IPsec туннели.

Zywall поддерживает только 4 туннеля IPIP/GRE, а нужно, например, 20

[MultiWAN policy routing в NDMS 2.12+.]

1 минуту назад, Александр Рыжов сказал:

Чистые IPSec-туннели — это policy-based сущности, они не имеют какого-либо отдельного интерфейса, как другие VPN-соединения.

Разумеется, но мы же как раз наблюдаем и обсуждаем зарождение функционала, очень напоминающего policy routing. На то и надежды.

[MultiWAN policy routing в NDMS 2.12+.]

А IPSec туннели пока вне политики? Или все же?

[Пользователи VPN: объединение с объектами домашней сети]

Именно. Чтобы к ним применять фильтры, шейпер, расписание и пр.

[Пользователи VPN: объединение с объектами домашней сети]

Раз уж пользователи удаленного доступа VPN получают практически равные права с компьютерами и устройствами домашнего сегмента, не уместно ли будет вынести их в общий с объектами LAN и WiFi список для однородного управления?